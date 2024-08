Ao redor do mundo, ameaças cibernéticas são cada vez mais frequentes e perigosas. O tema da cibersegurança tornou-se pauta prioritária entre as grandes empresas e, a reboque dos ataques crescentemente sofisticados de hackers, governos de vários países já discutem políticas nacionais para mitigar os riscos. Como mostra reportagem de VEJA na edição desta semana, apenas recentemente, o Brasil deu os primeiros passos nesta direção após ser alvo de milhares de violações nos últimos anos.

Entre as mais variadas táticas no arsenal dos cibercriminosos para quebrar barreiras de segurança, uma técnica se destaca como a mais devastadora: o ataque DDoS, sigla em inglês para Distributed Denial of Service (“negação distribuída de serviço”). Em termos simples, a estratégia consiste em acessar um site milhares de vezes por segundo até que os servidores (computadores responsáveis pela operação da página) entrem em colapso pela sobrecarga de solicitações.

Nesta modalidade, os hackers utilizam um exército de robôs programados para “clicar” incessantemente nos links de um site. Para suprir a demanda de poder computacional, é possível alugar na deep web uma horda de máquinas invadidas especialmente para servir a este propósito — além dos computadores pessoais e de empresas, hackers mais dedicados conseguem empregar até mesmo eletrodomésticos modernos com acesso à internet, como geladeiras, lâmpadas, cafeteiras e assistentes pessoais.

Ofensiva irrefreável

Nos últimos anos, os ataques DDoS se popularizaram pelo mundo e miraram uma série de instituições de governo. Serviços governamentais da França, Suíça, Noruega, Ucrânia e Estados Unidos foram alvos regulares da enxurrada de robôs e, em diversas ocasiões, ficaram indisponíveis para o público.

Especialistas explicam que a prevenção de ataques DDoS é extremamente difícil, beirando a impossibilidade, já que as próprias defesas da rede podem contribuir para a sobrecarga do computador. “Se você utiliza um firewall [aplicativo que bloqueia acessos a uma máquina], ele também consome a energia da máquina, e basta que o hacker tenha poder de processamento suficiente para derrubar o sistema”, explica Bruno Fraga, especialista em Segurança da Informação.

Uma alternativa é restringir acessos ao site por usuários estrangeiros, já que a maioria dos grupos hackers opera fora do país, mas isso também gera custos e inconveniências. “Uma pessoa que esteja viajando ou viva fora do Brasil pode ser impedida de usar um serviço do governo, ou comprar um produto”, diz Fraga.

Bolsa Família na mira

Em 2023, o Brasil sofreu mais de 685 mil investidas DDoS a cidadãos, empresas e órgãos públicos, de acordo com a consultoria NetScout. O dado coloca o país como segundo maior alvo do planeta, atrás apenas dos EUA, onde os ataques superaram 1 milhão.

Nem mesmo o Bolsa Família foi poupado. Em março do ano passado, o Ministério do Desenvolvimento Social sofreu um ataque DDoS à plataforma Teradata, que armazena todas as informações do programa de renda, e a derrubada do sistema deixou a rede absolutamente exposta por cerca de trinta minutos.

Na ocasião, técnicos de segurança digital do governo conseguiram restaurar as barreiras e não constataram nenhum vazamento de dados ou irregularidade nas transações. O palpite, porém, é que os hackers não tivessem o conhecimento técnico avançado o bastante para explorar a oportunidade, já que a manutenção da rede levou mais meia hora — tempo mais do que suficiente para que um cibercriminoso experiente roubasse informações ou operasse pagamentos ilegais.

Para analistas, o episódio ilustra o atraso do Brasil em estratégias de cibersegurança — se um ataque DDoS é quase impossível de conter, é imprescindível ter um protocolo para reagir à ameaça em tempo real. Patrícia Peck, fundadora do escritório especializado Peck Advogados, explica como a estrutura governamental funciona em países como a França, onde já existe um departamento centralizado de segurança cibernética. “No Brasil, a resposta a ataques cibernéticos envolve ao menos quatro ou cinco órgãos que não têm um plano consolidado para gerir este tipo de crise”, explica. “Se um brasileiro é vítima de um ciberataque, a quem ele deve recorrer? Falta uma agência que coordene as ações e investimentos nas defesas”, avalia.

Ataques a sistemas do governo

Há pouco mais de uma semana, um “incidente grave de segurança cibernética”, nas palavras do próprio governo, travou um sistema eletrônico por onde tramitam processos de nove ministérios — entre eles Fazenda, Previdência e Planejamento — e dois órgãos, o Conselho de Controle de Atividades Financeiras (Coaf) e a Casa da Moeda. O evento foi provocado pela ação de hackers que tentavam invadir os computadores para roubar dados pessoais e sigilosos da população. O sério ataque fez com que a administração levasse uma semana até restabelecer totalmente os serviços. Os autores do ato criminoso e a sua extensão ainda são investigados pela Polícia Federal e pela Agência Brasileira de Inteligência (Abin), mas uma coisa é possível dizer: é mais um na longa — e preocupante — rotina recente de atentados do tipo a órgãos de Estado.

O quadro de insegurança cibernética no país só vem piorando nos últimos anos. Desde 2020, foram mais de 50 000 casos, incluindo registros de violações de segurança das redes federais e alertas de vulnerabilidades emitidos pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (CTIR). Nesse período, foram quase 5 000 ocorrências comprovadas de vazamento de dados confidenciais, sendo 3 253 só neste ano (veja o quadro). Alguns dos ataques renderam prejuízos reais, como o roubo de dados bancários de quase 1 milhão de brasileiros em doze invasões ao cadastro nacional de chaves Pix. Em abril, criminosos invadiram o Siafi, sistema de pagamentos do governo, e desviaram ao menos 3,5 milhões de reais. Em 2021, o Ministério da Saúde protagonizou o vexame de ter os sistemas do SUS derrubados e os dados de vacinação “sequestrados” em plena pandemia pelos cibercriminosos globais do Lapsus$ (veja o quadro).